Sonatype 报告：Q1 共发现了近 18000 个恶意开源软件

Sonatype 发布了最新的一份《软件供应链状况》报告，深入探讨了如何在充满选择的世界中定义更好的软件，并探讨人工智能 (AI) 对软件开发的深远影响；还研究了开源供应、需求和安全之间错综复杂的相互作用。 报告跟踪

近日，AV-TEST 联合旗下的威胁情报平台 AV-ATLAS 发布了一份报告，让用户可以了解到 2022 年恶意软件和互联网安全的整体状况。 首先根据他们发布的推文，我们可以了解到这几大操作系统目前的恶意软件数量： 2022 年新的恶

源安全和风险分析 (Open Source Security and Risk Analysis，OSSRA) 报告指出，绝大多数代码库 (84%) 至少包含一个已知的开源漏洞，相较去年增加了近 4%。 2023 OSSRA 报告基于对并购交易中涉及的代码库的审计分析，共涉及 17 个行业。审计

perators 每天仔细检查所有上传；因此，许多恶意图像未被报告。Sysdig 还注意到，大多数威胁行为者只上传了一些恶意 images，因此即使删除了有风险的 images 并禁止了上传者，也不会对平台的威胁态势产生重大影响。 更多详情可

网安全公司 SonicWall 最新发布了一份 2022 年网络威胁报告，基于 215 个国家和地区的超过一百万个全球传感器收集的数据，探讨了安全专业人员需要关注的一些危险的趋势。报告指出： 2022 年上半年记录了 28 亿次恶意

NPM、Python 仓库监测的恶意组件数量如下所示。 本周新发现 131 个不同版本的恶意组件，其中 71%的投毒组件为：获取主机敏感信息（获取了主机的用户名、IP 等敏感信息） 25%的投毒组件为：获取 discord 用户敏感信

网设备提供支持。安全公司 CrowdStrike 在最新发布的一份报告中指出，针对通常部署在物联网 (IoT) 设备中的基于 Linux 的操作系统的恶意软件在 2021 年比 2020 年增加了 35%，前三大恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意

踪了正在进行的缓解受影响软件包的工作。 研究人员发现，截至 2021 年 12 月 16 日，来自 Maven Central 的 35,863 个可用软件包依赖于存在漏洞的 log4j 代码。这意味着 Maven Central 上超过 8% 的软件包至少有一个版本受漏洞影响（此

NCC Group 最新发布的一份威胁情报报告发现，5 月份全球勒索软件攻击环比增长 32%（从 356 起增至 470 起），同比增长 8%（从 435 起增至 470 起），均创历史新高。 臭名昭著的 Lockbit 勒索软件团伙则是此次激增的罪魁祸首。该组织

JFrog 研究人员 Andrey Polkovnychenko 和 Shachar Menashe 在一份报告中，截至 3 月 21 日他们已观察到不少于 218 个恶意 NPM 包。检查后发现这都是针对 Azure 开发人员的新的大规模供应链攻击，攻击者采用了一个自动脚本来创建账户并上传

FreeBSD 公布了 2023 年第一季度报告，介绍了从 2023 年 1 月到 3 月的主要工作内容和项目进展。 报告首先总结了去年的财务状况：2022 年总共筹集了 1231096 美元，但并未完成 130 万美元的筹款目标。今年的财务预算约为 223 万美元

个直接当事方——微软和 CrowdStrike 均已发布了相关技术报告。 7 月 24 日，CrowdStrike 发布 Windows 大范围蓝屏事件初步审查报告，并表示即将在公开发布的根本原因分析中详细说明全面调查结果。 根据报告，蓝屏死机是由内存安

应链安全的担忧 围绕软件供应链安全的关注空前高涨。Sonatype 报告称，在过去 3 年中，软件供应链攻击的年均增长率达到了惊人的 742%。调查受访者最关心的三个问题分别是，易受攻击的应用程序组件 (32%)、访问控制不足 (30%)

Phylum 研究团队发现，npm 中与 Tea 协议相关的垃圾包激增。Tea 协议是一项去中心化计划，由 Homebrew 创始人 Max Howell 发明，旨在改善开源商业模式，承诺以加密货币补偿软件开发者对开源的贡献。 但研究人员认为，npm 上的这些包